Résumé du Cas et Résultat

La Cour d’appel des États-Unis pour le neuvième circuit a estimé que la technologie de reconnaissance faciale utilisée pour créer des modèles de visage sans consentement préalable porte atteinte aux intérêts et à la vie privée des personnes. En 2010, Facebook a commencé à utiliser la technologie de reconnaissance faciale pour développer sa fonctionnalité de suggestions de tags sans le consentement écrit préalable des utilisateurs et sans calendrier de conservation des informations biométriques. Trois utilisateurs de Facebook en Illinois ont déposé une plainte en 2015, affirmant que la technologie de reconnaissance faciale de Facebook violait la loi sur la confidentialité des informations biométriques de l’Illinois. La Cour a confirmé la décision de la Cour de district des États-Unis pour le district nord de la Californie, maintient que la technologie de reconnaissance faciale de Facebook affectait la vie privée et les activités personnelles des utilisateurs, et a noté l’impact que les avancées technologiques peuvent avoir sur la vie privée.

Les Faits

En 2010, Facebook a mis en place une nouvelle fonctionnalité, les suggestions d’identification ou tag, qui utilise la technologie de reconnaissance faciale pour identifier les personnes sur les photographies téléchargées par un utilisateur qui a activé la fonction de suggestions d’identification. Cette fonction permettait l’identification automatique d’autres utilisateurs sur les photographies téléchargées sur Facebook : elle est allée au-delà de l’identification manuelle initiale en permettant à un utilisateur d’identifier d’autres utilisateurs sur ses photos, avec un lien vers les profils de ces utilisateurs. La technologie appliquée par Facebook scanne les photographies une fois qu’elles ont été téléchargées et extrait « les différents points de données géométriques qui rendent un visage unique, tels que la distance entre les yeux, le nez et les oreilles, pour créer une signature ou une carte du visage », compare cette « carte » à des modèles de visages d’utilisateurs enregistrés dans ses bases de données et suggère ensuite de marquer cet utilisateur particulier sur la photographie.

En août 2015, trois utilisateurs de Facebook domiciliés dans l’Illinois, aux États-Unis, Nimesh Patel, Adam Pezen et Carlo Licata, agissant en tant que représentants du groupe, ont déposé une plainte collective contre Facebook, au motif que la technologie de reconnaissance faciale de Facebook violait la loi de l’Illinois sur la confidentialité des informations biométriques (Biometric Information Privacy Act, BIPA). Patel, Pezen et Licata étaient des utilisateurs de Facebook depuis 2008, 2005 et 2009 respectivement. La BIPA a été adoptée en 2008 et définit un « identifiant biométrique » comme incluant « un scan de la géométrie de la main ou du visage » [p. 8].

Les utilisateurs ont fait valoir que Facebook a violé les articles 15(a) et 15(b) de la BIPA parce qu’il a recueilli et utilisé les informations biométriques des utilisateurs, en particulier les modèles de visage, sans leur consentement écrit préalable pour développer la fonctionnalité Tag Suggestions. Ils ont également fait valoir que Facebook a violé la BIPA parce qu’il ne prévoyait pas de calendrier de conservation pour la destruction des identifiants biométriques.

La section 15(a) stipule : « Une entité privée en possession d’identifiants biométriques ou d’informations biométriques doit élaborer une politique écrite, mise à la disposition du public, établissant un calendrier de conservation et des lignes directrices pour la destruction définitive des identifiants biométriques et des informations biométriques lorsque l’objectif initial de la collecte ou de l’obtention de ces identifiants ou informations a été satisfait ou dans les 3 ans suivant la dernière interaction de la personne avec l’entité privée, selon la première éventualité. En l’absence d’un mandat ou d’une assignation valide délivrée par un tribunal compétent, une entité privée en possession d’identifiants ou d’informations biométriques doit se conformer à son calendrier de conservation et à ses directives de destruction ».

L’article 15(b) stipule : « Aucune entité privée ne peut collecter, capturer, acheter, recevoir par voie commerciale ou obtenir de toute autre manière l’identifiant biométrique ou l’information biométrique d’une personne ou d’un client, à moins qu’elle n’ait d’abord : (1) informé par écrit le sujet ou son représentant légal que l’identifiant biométrique ou l’information biométrique est collecté ou stocké ; (2) informé par écrit le sujet ou son représentant légal de l’objectif spécifique et de la durée pour laquelle l’identifiant biométrique ou l’information biométrique est collecté, stocké et utilisé ; et (3) reçu une décharge écrite signée par le sujet de l’identifiant biométrique ou de l’information biométrique ou son représentant légal ».

La BIPA reconnaît que « [l]es données biométriques sont différentes des autres identifiants uniques utilisés pour accéder aux données financières ou à d’autres informations sensibles » car elles sont « biologiquement uniques » à un individu et ne peuvent jamais être modifiées si leur intégrité est compromise. L’Assemblée législative de l’Illinois a décrit l’objectif de la législation comme étant de « servir le bien-être, la sécurité et la sûreté du public en réglementant la collecte, l’utilisation, la sauvegarde, la manipulation, le stockage, la conservation et la destruction des identifiants et des informations biométriques ».

Facebook a déposé une demande de rejet de la plainte, arguant que les utilisateurs n’ont pas prouvé l’existence d’un préjudice de fait.

Le tribunal de district a certifié la classe et a rejeté la requête de Facebook. Facebook a fait appel de la décision de la Cour de district auprès de la Cour d’appel des États-Unis pour le neuvième circuit.

Aperçu des Décisions

Le juge Ikuta a rendu l’arrêt pour les trois juges. La question principale devant la Cour était de savoir si la technologie de reconnaissance faciale de Facebook violait les sections 15(a) et 15(b) de la BIPA et le droit à la vie privée des utilisateurs. Il s’agissait de déterminer si la « violation des exigences légales équivalait à une violation de leurs droits substantiels à la vie privée » [p. 13].

Les utilisateurs ont fait valoir que Facebook avait violé les articles 15(a) et 15(b) de la BIPA et le droit à la vie privée des plaignants.

Facebook a fait valoir que les utilisateurs ont décrit des violations de procédure dans la plainte et n’ont pas fait état d’un préjudice de fait.

La Cour a expliqué qu’elle doit appliquer une approche en deux étapes dans des cas comme celui-ci, à savoir déterminer s’il y a « une atteinte à un intérêt juridiquement protégé qui est (a) concrète et caractérisée ; et (b) réelle ou imminente, et non conjecturale ou hypothétique » [p. 10].

La Cour a examiné l’histoire du droit à la vie privée, notant que les tribunaux ont reconnu pour la première fois ce droit en common law après que Samuel D. Warren et Louis D. Brandeis aient publié un article intitulé « The Right to Privacy » dans la Harvard Law Review en 1890. Elle ajoute que les arrêts de la Cour suprême dans les affaires U.S. Dep’t of Justice c. Reporters Comm. for Freedom of the Press, 489 U.S. 749, 763 & n. 15 (1989) et Cox Broadcasting Corp. c. Cohn, 420 U.S. 469, 488 (1975) ont reconnu ces « racines de common law du droit à la vie privée » [p. 15]. Cependant, la Cour a souligné que « [c]es droits à la vie privée en common law sont imbriqués dans des domaines de la vie privée protégés par la Constitution » et a fait référence aux affaires Gibson c. Fla. Legislative Investigation Comm., 372 U.S. 539, 569 n.7 (1963) et Kyllo c. United States, 9th Cir. 533 U.S. 27 (2001), dans lesquelles il a été jugé que le droit à la vie privée faisait partie des protections constitutionnelles prévues par le premier amendement (droit à la liberté d’expression) et le quatrième amendement (interdiction des perquisitions et des saisies abusives). En ce qui concerne le quatrième amendement, la Cour a noté que la jurisprudence de la Cour suprême « reconnaît que les progrès de la technologie peuvent accroître le potentiel d’intrusions abusives dans la vie privée » [p. 16].

La Cour a décrit les menaces que représente la technologie de reconnaissance faciale de Facebook pour la vie privée et a noté que cette technologie permettait actuellement à Facebook d’identifier des utilisateurs individuels de Facebook, leur localisation et leurs amis, et qu’à l’avenir, elle pourrait permettre l’identification de personnes à partir de photographies de surveillance. La Cour a conclu que « le développement d’un modèle de visage à l’aide de la technologie de reconnaissance faciale sans consentement (comme il est allégué en l’espèce) porte atteinte aux activités privées et aux intérêts concrets des individus » [p. 17]. La Cour a noté qu’en adoptant la BIPA, l’Assemblée générale de l’Illinois avait reconnu les menaces que les données biométriques faisaient peser sur la vie privée et que, dans l’affaire Rosenbach c. Six Flags Entertainment Corp, IL 123186 (2019), la Cour suprême de l’Illinois avait conclu que l’objectif de la BIPA était de protéger la vie privée biométrique [p. 17-18]. L’affaire Rosenbach a également établi qu’un individu pouvait subir un préjudice en raison de la violation de la BIPA lorsqu’une entité privée ne respecte pas ses obligations en vertu de l’article 15, car cette violation entraîne une atteinte aux droits des individus.

En conséquence, la Cour a estimé que les dispositions de la BIPA protègent les intérêts concrets et la vie privée des individus et « pas seulement les droits procéduraux » [p. 18].

En évaluant la deuxième question à savoir « si les violations procédurales spécifiques alléguées en l’espèce portent effectivement atteinte, ou présentent un risque matériel d’atteinte, à ces intérêts », la Cour a fait référence à l’affaire Rosenbach en notant que les dispositions de la BIPA sont essentielles pour protéger le droit à la vie privée dans un monde numérique. La Cour a souligné que la BIPA protège la vie privée biométrique et que la collecte de ces données par Facebook viole « nécessairement » le « droit substantiel à la vie privée » des utilisateurs [p. 19].

Par conséquent, la Cour a jugé que les utilisateurs avaient invoqué un « préjudice concret et caractérisé » [p. 20].

La Cour a également conclu que le tribunal de district avait eu raison d’autoriser le recours collectif.